We’re used to thinking about securing software-as-a-service (SaaS) platforms and the cloud as two separate beasts. This separation stems from the way SaaS and the public cloud first emerged as small point solutions and an extension of the traditional data center, respectively. Today, due to the advent of low code, this separation is wrong, and it’s holding us back from seeing what’s right in front of our eyes. Low code makes SaaS platforms a part of the public cloud, a place where developers build multiple applications rather than consuming a single one: a cloud platform.
Hvis vi ikke ændrer vores tankegang, fører det til, hvor vi er i dag, hvor disse applikationer bliver overladt til at tage fat uden nogen sikkerhedssynlighed. Og for at gøre tingene værre, er lavkode-applikationer indlejret direkte i platforme som Salesforce og Microsoft Dynamics, som vi alle bruger, og som indeholder vores mest følsomme forretningsdata.
Hvordan kom vi hit?
Oprindelseshistorier er altid interessante, fordi de forklarer noget grundlæggende om den måde, vi opfatter historiens helt. Mens SaaS startede som en udvidelse af virksomhedens netværk, startede den offentlige sky som en udvidelse af datacentret. Disse meget forskellige udgangspunkter forklarer, hvorfor sikring af SaaS startede med skygge-IT (beskyttelse af perimeteren) og sikring af den offentlige sky startede med beskyttelse af arbejdsbelastning (løft-og-skift-servere og deres netværk/værtsagenter). Det betød også, at forskellige sikkerhedsteams fik til opgave at sikre SaaS og skyen, hvilket naturligvis førte til en adskillelse af værktøjer, forskellig trusselsmodellering og, vigtigst af alt, dannelsen af forskellige sikkerhedstankegange.
Både SaaS og den offentlige sky har udviklet sig drastisk fra de tidlige dage. Offentlige cloud-leverandører introducerede stadigt mere granulære computerparadigmer, og introducerede gradvist infrastruktur som en tjeneste (IaaS), platform som en tjeneste (PaaS) og serverløs for at hjælpe udviklere med at fokusere på det aktuelle forretningsproblem. De byggede også et helt økosystem af færdige løsninger til komplekse, men almindelige problemer - identitet, tilladelser, logning, konfiguration og implementering, for at nævne nogle få.
SaaS plejede at betyde en punktløsning for et specifikt problem. Salesforce startede som et CRM, ServiceNow som et billetsystem og Office365 som e-mail, regneark, dokumenter og slides. (Selvom dette er mere end én løsning, er disse meget specifikke.) Sammenlign det med i dag: Salesforce-udviklere bygger apps til næsten ethvert forretningsbehov oven på Salesforce-platformen er ServiceNow lavkode-apps håndtere næsten alt from HR to health and finance processes, and Power Platform, Microsoft’s low-code platform embedded into Office365, is being used by more than 20 millioner brugere på tværs af branchen at løse ethvert forretningsbehov, fra produktivitet gennem indkøb og COVID-relaterede processer.
Det er klart, at disse er blevet applikationsudviklingsplatforme i virksomhedsklasse, ikke punktløsninger på specifikke forretningsproblemer. Mange udviklere vælger i dag at bygge deres applikationer på platform-leverede abstraktioner, uanset om det er serverløse funktioner på den offentlige sky eller udvidelige byggeklodser på SaaS low-code platforme.
Introduktionen af forretningsudviklere
Comparing how SaaS platforms started and where they are now clearly shows how far these have come from their earlier versions. But there’s still a major shift we haven’t mentioned yet: the introduction of business developers.
SaaS lavkode-platforme henter deres kraft fra de data, de vedligeholder, og deres eksisterende brugere. De er begge ikke begrænset til IT, men er snarere skæve mod virksomheden. At have adgang til både forretningsdata og forretningsbrugere betyder, at SaaS er i den perfekte position til at tackle det mest presserende problem, mange virksomheder står over for i dag – digital transformation.
Med en global mangel på udviklere og vanskeligheden ved at strømline en forretningsproces med så mange interessenter introducerer lavkodeplatforme en genvej, der lader forretningsbrugerne strømline deres processer selv uden at vente på IT.
Lav kode tager fart hos forretningsbrugere, så meget, at Microsofts administrerende direktør Satya Nadella i hans 2019 Inspire keynote diskuterede muligheden lav kode for at styrke folk og skabe nye funktionærjob ligesom Excel gjorde.
Ligesom den offentlige sky er en applikationsudviklingsplatform, der gør det muligt for udviklere at fokusere på deres forretningslogik, er SaaS-platforme blevet applikationsudviklingsplatforme, der bruger lav kode for at give forretningsbrugere mulighed for at blive udviklere og imødekomme ethvert forretningsbehov.
SaaS er nu fokuseret på nye typer udviklere, der adresserer en lang række uopfyldte forretningsbehov med dedikerede applikationer, hvilket skaber en ny type sky: forretningsskyen.
Sikring af lav kode som en udvidelse af skyen
Med erkendelsen af, at nogle SaaS-platforme nu er applikationsudviklingsplatforme og en udvidelse af skyen, bør vi genoverveje ansvar for securing those applications and bringing them under the security team’s umbrella.
Vi bør behandle platforme som Salesforce, ServiceNow og Office365 på samme måde, som vi behandler AWS, Azure og GCP, hvor vi fokuserer på de applikationer, der blev bygget og hostet i disse applikationsudviklingsplatforme i stedet for at behandle hele platformen som en enkelt applikation .
Shadow IT, for example, remains an issue with smaller and an ever-growing number of point-solution SaaS. But it doesn’t make sense to treat any single platform mentioned above as a single app to discover and catalog. Instead, we should discover and catalog the applications built with those platforms — and there are tens of thousands of those. In most organizations, this enormous complexity is hidden behind a single line in an application inventory.
Applikationer bygget med SaaS low-code platforme bør være undersøgt med den samme strenge sikkerhed, som vi bruger for dem, der er bygget i skyen, fordi en applikation i sidste ende er en applikation, uanset hvor den er bygget og hostet.
Det, der betyder noget for sikkerheden af vores forretningsapplikationer, er de mennesker, processer og værktøjer, der er involveret i at lave, vedligeholde og beskytte disse applikationer. Til applikationer bygget i skyen har vi professionelle udviklere, automatiserede CI/CD-processer og forskellige sikkerhedsværktøjer fra kodescanning og dynamisk analyse til runtime-overvågning og -forebyggelse. For applikationer bygget på SaaS low-code platforme har vi nogle professionelle udviklere, men også forretningsbrugere, der er ikke sikkerhedskyndig, med få eller ingen implementeringsprocesser og ingen sikkerhedskontrol eller garantier.
At tænke på lavkodeplatforme som en del af SaaS gør det svært for os at se, at en kæmpe del af vores forretningsapplikationer bliver nu bygget af virksomheden, uden for IT og uden for sikkerhedskontrol. For at begynde at se problemet og finde ud af vores tilgang til det, må vi ændre vores tankegang til at anerkende lavkodeplatforme som en del af skyen og behandle applikationerne på disse platforme, som vi gør enhver anden applikation.
